In meinem vorherigen Beitrag bin ich auf die Authentifzierungsmechanismen des Yubikey Neo eingegangen. Für den ein oder anderen stellt sich jetzt vielleicht die Frage, ob sich der Kauf lohnt – und wenn ja: Welche Yubikey-Version soll es dann sein? Sollte man lieber viel Geld für einen Neo ausgeben, oder doch zur günstigeren U2F-Version greifen?
Um diese Fragen zu beantworten, will ich euch erklären, welche Authentifizierungsmethoden ich mit meinem Yubikey Neo verwende, und wieso.
Je nach Modell beherrschen die Yubikeys der Firma Yubico verschiedene Authentifizierungsverfahren. Nach dem ich mir einen Yubikey Neo zugelegt hatte, fiel es mir schwer, zwischen den Betriebsmodi zu unterscheiden. Mit diesem Beitrag will ich neuen Usern einen Überblick über die möglichen Authentifizierungsverfahren geben, sie erklären und die Vor- und Nachteile nennen.
Vorgestellt werden hier die folgenden Yubikey-Modi:
Für WordPress gibt es verschiedene Plugins, über die sich ein Blog mit dem Yubikey absichern lässt. Eine Möglichkeit ist, die Authentifizierung via Yubikey OTP, die Yubico Server und dieses WordPress Plugin abzuwickeln. Der Vorteil: Yubikey OTPs funktionieren auf jedem Rechner, der eine USB-Schnittstelle hat, weil der Yubikey in diesem Fall nur eine Tastatur simuliert. Nach Nachteil bei dieser Methode: Man verlässt sich auf fremde Server (Die Yubico Authentifizierungsserver), über die man keine Kontrolle hat.
Neben der Yubico OTP-Methode beherrscht mein Yubikey Neo auch die Authentifizierung über das FIDO U2F Verfahren. Auch hierbei werden Einmalpasswörter generiert – allerdings ohne die Hilfe fremder Server. Ein Nachteil hierbei: Damit U2F funktionieren kann, muss der Webbrowser dies unterstützen. Google Chrome / Chromium beherrscht U2F seit Version 40. Firefox kommt noch ohne native U2F Unterstützung. Über ein Browser-Addon kann man das aber nachrüsten. Im Folgenden erkläre ich die Einrichtung der Authentifizierung über U2F. Ich gehe davon aus, dass der Browser U2F bereits beherrscht.
Leider beherrscht Firefox im Gegensatz zu Google Chrome den FIDO U2F Authentifizierungsmechanismus noch nicht nativ. Wenn man sich mit seinem Yubikey via U2F bei Google, GitHub, Dropbox oder einem anderen unterstützten Dienst anmelden will, musste man bisher auf Chrome / Chromium ausweichen.
Heute morgen bin ich bei meinen Nachforschungen auf ein Firefox Plugin (»Github) gestoßen, das verspricht, U2F Unterstützung nachzurüsten. Tatsächlich wurde mein Yubikey damit auf der Yubico U2F Demo Seite problemlos erkannt – auch wenn mir noch die Warnung zur fehlenden Kompatibilität mit Firefox angezeigt wurde. Die Warnung bleibt bestehen, solange die Website erkennt, dass ich mit Firefox unterwegs bin. Schließlich unterstützt Firefox ja offiziell noch kein U2F.